app渗透测试pdf

渗透测试通过采用JDB反编译工具和apktool工具提取app中的Androidmanifest.xml进行分析。目的在于识别应用滥用权限、检测调试功能是否开启、分析app支持外部调用的组件等方式进行测试。通过安全工具连接测试 app 设备，正常启动app后对输出信息中是否含有url、传递参数、账号、口令及其他敏感信息进行检查。测试过程中，会采用各种手段和途径，包括端口扫描，漏洞扫描，密码猜测，密码破解，数据窃听，伪装欺骗等技术方式。最终目的就是为了检验该网络各个环节的安全性。根据测试目标不同，采用的技术也会有一定差异性。测试者在系统网络的不同位置、不同攻击路径下进行渗透测试，结果反应的问题迥然不同的。还有一个就是测试方式的不同，分为黑盒测试和白盒测试，黑盒测试又被称为“Zero-knowledge testing”，渗透测试工程师完全处于对系统一无所知的状态，通常这类测试的最初信息来自于DNS、Web、Email及各种公开对外的服务器。白盒测试与黑盒测试不同，渗透测试工程师可以通过正常渠道向被测者要求，取得各种资料，包括网络拓扑、员工资料甚至网站或其他程序的代码片断，也能够与被测组织内的其他员工进行面对面的沟通。这类测试的目的是模拟客户组织内部雇员的越权操作，和预防万一组织重要信息泄露，网络黑客能利用这些信息对组织构成的危害。

转载于天翼云，如有侵权，请联系删除，谢谢